Commvault nos comparte un listado de consideraciones clave para garantizar protección y recuperación ante ataques de ransomware.
En México, de acuerdo con el informe “El estado del Ransomware 2021, presentado por Sophos en junio de este año, una de cada cuatro empresas sufrió un intento de ataque de ransomware. El 54% de ellas vio su información cifrada después del ataque, mientras que 39% pudo detener el ataque antes de que ocurriese, aunque el costo medio de recuperación fue de 2.03 millones de dólares, superando la media global que se ubica en 1.85 millones.
Para proteger incluso los entornos más intensivos en datos ante el ransomware, los expertos de Commvault detallan cuatro buenas prácticas:
- 1 – Contar con un programa de seguridad de la información eficaz. Entre los componentes de un programa de seguridad eficaz, el primero es conocer dónde se almacenan los datos críticos (algo complicado como nunca dada la diversidad y complejidad de los entornos actuales), y qué sistemas procesan y transmiten esos datos. A través de aplicaciones de inventario, hay que determinar qué sistemas, físicos o digitales, presentan el mayor riesgo para las operaciones y cuál es la disponibilidad de los sistemas, servicios y dispositivos clave. También la aplicación de controles de seguridad basados en el riesgo y preparados para un panorama de amenazas en continua evolución, y el control de la efectividad a través de la evaluación proactiva y la aplicación de acciones correctivas.
- 2 – Aplicar las mejores prácticas tecnológicas. Según el informe “The 2021 Threat Hunting Report” de Domaintools, más de la mitad de los profesionales de la ciberseguridad señalan la detección a tiempo de amenazas avanzadas (55%) como el principal desafío para sus centros de operaciones de seguridad. Al implementar prácticas tecnológicas efectivas, las organizaciones pueden proteger de manera efectiva sus datos y sus infraestructuras de TI. Por ejemplo, emplear soluciones multicapa, mantener los sistemas y el software actualizados; proteger contra amenazas basadas en archivos, descargas y navegación; aplicar tecnologías heurísticas, o trabajar con sistemas de scoring de reputación de archivos, entre otros.
- 3 – Emplear estrategias de backup efectivas. Un evento de ransomware es casi siempre un proceso progresivo. Se mantiene durante un tiempo y puede ejecutarse en segundo plano mientras aprende el comportamiento de las rutinas de backup. Como tal, es importante mantener copias persistentes de los datos en otras ubicaciones como parte de la preparación para la recuperación y procedimientos de recuperación ante desastres. Usar bibliotecas en la nube es otra buena alternativa. Dado que la copia de seguridad en la nube no es visible para la cuenta del sistema operativo del administrador local, requeriría una sofisticación adicional para obtener acceso a las credenciales de usuario en la nube.
- 4 – Educar a los empleados para proteger sus endpoints. Capacitar a los usuarios para que ejerzan las mejores prácticas de seguridad: usar siempre un firewall, aplicar políticas de gestión de contraseñas, asegurarse de que utilizan el nivel de privilegios más bajo posible, deshabilitar el AutoPlay y el uso compartido de archivos si no son necesarios, apagar o eliminar servicios innecesarios, mantener los parches actualizados, configurar el servidor de correo electrónico para bloquear o eliminar mensajes, desactivar Bluetooth en el dispositivo móvil si no es necesario.
- 5 – Un enfoque multi-capa para la protección y recuperación ante el ransomware. A juicio de los analistas de Commvault, en la actualidad se requieren soluciones integrales, con un enfoque multicapa, para combatir el ransomware.
Nota relacionada: Después de un ataque de ransomware, ¿qué hacer?